Kamera na oddziale dziecięcym. Monitoring pod lupą UODO w 2026

W rogu sali na oddziale dziecięcym, tuż pod sufitem, miga zielona dioda. Kamera obejmuje cztery łóżeczka, przewijak i fragment korytarza, którym co kilka minut przechodzi pielęgniarka. Ojciec sześciolatka, który przyjechał na wizytę, zadaje recepcji pytanie z pozoru banalne: kto to ogląda, jak długo nagranie jest przechowywane i czy ktokolwiek pytał go o zgodę na filmowanie jego dziecka. Recepcjonistka nie wie. Kierownik placówki, dopytany później, wie tyle, że „kamery były tu, odkąd pamięta", a rejestrator „chyba nadpisuje stare nagrania, jak się zapełni". To nie jest scena z thrillera o inwigilacji. To typowy stan rzeczy w setkach polskich podmiotów leczniczych — i dokładnie ten stan rzeczy stał się w 2026 roku przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych.

8 stycznia 2026 roku Prezes UODO Mirosław Wróblewski opublikował plan kontroli sektorowych na bieżący rok. Wśród obszarów wziętych pod lupę znalazł się monitoring wizyjny w podmiotach leczniczych — z wyraźnym dopiskiem, że chodzi w szczególności o przetwarzanie danych dzieci, w tym na oddziałach dziecięcych i w poradniach. Dla każdego dyrektora szpitala, kierownika przychodni czy właściciela prywatnego gabinetu komunikat jest jednoznaczny: kamera, która od lat wisi w kącie i o której nikt nie myśli, może w tym roku stać się tematem rozmowy z kontrolerem urzędu. A rozmowa ta zacznie się od pytań, na które „chyba tak" jest najgorszą z możliwych odpowiedzi.

Co dokładnie ogłosił UODO na 2026 rok

Plan kontroli sektorowych to nie wewnętrzna notatka urzędu, lecz publiczna zapowiedź kierunku działań nadzorczych. Na 2026 rok Prezes UODO wskazał kilka obszarów: bezpieczeństwo danych przy monitoringu wizyjnym w podmiotach leczniczych ze szczególnym uwzględnieniem danych dzieci, ochronę danych na internetowych platformach dostaw i pośrednictwa, przetwarzanie danych przez podmioty prowadzące Biuletyn Informacji Publicznej, działalność podmiotów marketingowych oraz przetwarzanie w wielkoskalowych systemach informacyjnych Unii Europejskiej, takich jak SIS czy VIS. Lista jest krótka i nieprzypadkowa.

Gdy organ nadzorczy publikuje plan kontroli, w praktyce wysyła rynkowi czytelny sygnał: w tych obszarach w ostatnich miesiącach coś nie działało. Były skargi, były naruszenia, były powtarzające się błędy w stosowaniu przepisów. Monitoring w ochronie zdrowia nie znalazł się na tej liście, bo ktoś w urzędzie tak sobie wymyślił przy porannej kawie. Znalazł się dlatego, że strumień skarg pacjentów, rodziców i pracowników, doniesienia Rzecznika Praw Pacjenta oraz wcześniejsze ustalenia Najwyższej Izby Kontroli złożyły się w spójny obraz sektora, który rejestruje obraz ludzi w jednej z najbardziej intymnych sytuacji ich życia — i robi to często bez wystarczającej podstawy, bez przemyślanej retencji i bez kontroli nad tym, kto ma dostęp do nagrań.

Warto dodać kontekst, który łatwo przeoczyć. Plan kontroli UODO nie jest jedyną listą, na której w 2026 roku znalazła się ochrona zdrowia. Również Najwyższa Izba Kontroli zapowiedziała na ten rok działania koncentrujące się na bezpieczeństwie informacji i na podmiotach publicznych. Dla placówki medycznej oznacza to, że ten sam obszar — przetwarzanie wrażliwych danych pacjentów — może zostać oceniony z dwóch niezależnych perspektyw nadzorczych w ciągu kilkunastu miesięcy.

Kontrola sektorowa ma przy tym sformalizowany przebieg, którego warto być świadomym. Urząd zawiadamia podmiot o zamiarze kontroli, wskazuje jej zakres i podstawę prawną, a kontrolerzy działają na podstawie imiennego upoważnienia. Mają prawo wstępu do pomieszczeń, wglądu w dokumentację, żądania pisemnych i ustnych wyjaśnień oraz dostępu do systemów, w których przetwarzane są dane — w tym do rejestratora monitoringu. Z czynności sporządza się protokół, a stwierdzone niezgodności mogą zakończyć się zaleceniami, decyzją nakazującą dostosowanie przetwarzania, a w poważniejszych przypadkach administracyjną karą pieniężną. To nie jest kurtuazyjna wizyta, lecz postępowanie, w którym ciężar wykazania zgodności spoczywa w całości na administratorze.

Dlaczego monitoring i dlaczego akurat dane dzieci

Kamera w sklepie rejestruje klientów wybierających jogurt. Kamera w podmiocie leczniczym rejestruje ludzi w chorobie, w bólu, czasem w stanie, którego nie chcieliby pokazać nikomu. Sam fakt, że ktoś znajduje się na oddziale onkologicznym, psychiatrycznym czy w poradni leczenia uzależnień, jest informacją o jego zdrowiu — a więc daną szczególnej kategorii w rozumieniu art. 9 RODO, objętą najwyższym poziomem ochrony. Nagranie wizyjne, które wydaje się „tylko obrazem", w warunkach medycznych potrafi ujawnić znacznie więcej niż treść jakiegokolwiek formularza. To pierwszy powód, dla którego urząd traktuje monitoring w tym sektorze inaczej niż w galerii handlowej.

Drugi powód to dzieci. Motyw 38 RODO wprost stanowi, że dzieci wymagają szczególnej ochrony danych osobowych, ponieważ mogą być mniej świadome ryzyka, konsekwencji i przysługujących im praw. Małoletni pacjent nie przeczyta klauzuli informacyjnej, nie oceni proporcjonalności, nie złoży sprzeciwu. Za niego myśli rodzic lub opiekun — o ile w ogóle ktokolwiek poinformował go, że oddział jest monitorowany, w jakim zakresie i przez kogo nagrania będą oglądane. Oddział dziecięcy łączy więc dwie okoliczności, które każą zaostrzyć każde wymaganie: dane dotyczące zdrowia i podmiot wymagający wzmożonej ochrony. To nie jest obszar, w którym urząd będzie wyrozumiały wobec tłumaczenia, że „kamery były tu od zawsze".

Trzeci powód jest praktyczny. Monitoring w ochronie zdrowia rozrósł się przez lata w sposób żywiołowy. Kamery instalowano po incydentach, po skargach na personel, po kradzieżach, po naciskach ubezpieczyciela — każdą z osobna, bez nadrzędnej polityki. W efekcie wiele placówek nie potrafi dziś odpowiedzieć na najprostsze pytania: ile mamy kamer, co dokładnie obejmują, na jakiej podstawie działają i kto za nie odpowiada. Kontrola sektorowa jest właśnie próbą zmierzenia tej luki — i zamknięcia jej, zanim z monitoringu mającego chronić pacjentów zrobi się źródło ich realnego zagrożenia.

Podstawa prawna, której wiele placówek nie umie wskazać

Pierwsze pytanie kontrolera będzie najprostsze i zarazem najbardziej kłopotliwe: na jakiej podstawie prawnej prowadzicie ten monitoring. W podmiotach leczniczych odpowiedź nie brzmi „za zgodą pacjenta" — i to jest sedno nieporozumienia, które powtarza się w dziesiątkach placówek. Zgoda z art. 6 ust. 1 lit. a oraz art. 9 ust. 2 lit. a RODO jest tu podstawą niewłaściwą, bo pacjent wchodzący na izbę przyjęć nie ma realnej swobody jej odmowy, a zgoda wymuszona okolicznościami nie jest zgodą w sensie prawnym.

Właściwą podstawą dla pomieszczeń, w których udzielane są świadczenia zdrowotne, jest przepis szczególny: art. 23a ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. W brzmieniu obowiązującym od 6 września 2023 roku przepis ten pozwala kierownikowi podmiotu leczniczego zdecydować o monitorowaniu pomieszczeń, w których udzielane są świadczenia zdrowotne, jeżeli jest to konieczne w procesie leczenia lub do zapewnienia bezpieczeństwa pacjentów. Dla obszarów, które nie są pomieszczeniami świadczeń — ciągów komunikacyjnych, wejść, parkingów, magazynów — podstawą pozostaje prawnie uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO. Różnica jest fundamentalna, bo wyznacza zarówno granice dopuszczalnego monitoringu, jak i sposób, w jaki należy go uzasadnić.

Sama podstawa to jednak dopiero połowa zadania. Nad każdą kamerą wisi zasada ograniczenia celu i zasada minimalizacji danych z art. 5 ust. 1 lit. b oraz c RODO. Monitoring jest dopuszczalny tylko wtedy, gdy cel — leczenie albo bezpieczeństwo pacjenta — rzeczywiście uzasadnia obserwację konkretnych osób w konkretnym miejscu, i tylko w zakresie, w jakim jest do tego celu niezbędny. Kontroler nie zapyta więc wyłącznie „czy macie podstawę", lecz „czy ta kamera, w tym miejscu, o tym polu widzenia, jest naprawdę konieczna". Placówka, która nie udokumentowała tej oceny przed instalacją, będzie ją odtwarzać pod presją — a to najgorszy moment na rzetelną analizę proporcjonalności.

Trzy miesiące i ani dnia dłużej: retencja nagrań

Drugim pewnym pytaniem kontroli będzie czas przechowywania nagrań. Tutaj ustawa o działalności leczniczej jest bezlitośnie precyzyjna: nagrania obrazu uzyskane w wyniku monitoringu, zawierające dane osobowe, podmiot leczniczy przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje nie dłużej niż 3 miesiące od dnia nagrania. Po upływie tego okresu nagrania podlegają zniszczeniu — przez trwałe usunięcie lub nadpisanie — w sposób uniemożliwiający ich odtworzenie.

Brzmi to prosto, dopóki nie zajrzy się do serwerowni. W praktyce typowy rejestrator skonfigurowano raz, przy montażu, na zasadzie „nadpisuj, gdy dysk się zapełni". Przy dużej liczbie kamer dysk zapełnia się po dwóch tygodniach i wszystko jest formalnie w porządku. Ale przy kilku kamerach i pojemnym dysku nagrania potrafią leżeć pół roku, rok, a czasem dłużej — bo nikt nie ustawił twardego limitu czasowego, a jedynie limit pojemnościowy. To klasyczny przykład sytuacji, w której placówka łamie prawo nie z premedytacją, lecz przez przeoczenie parametru w panelu administracyjnym, którego od montażu nikt nie otworzył.

Kontrola zażąda dowodu. Nie deklaracji, że „nadpisujemy po trzech miesiącach", lecz konfiguracji rejestratora potwierdzającej automatyczne usuwanie po wyznaczonym czasie, a najlepiej także polityki retencji opisującej zasadę i wskazującej osobę odpowiedzialną za jej egzekwowanie. Brak takiego dowodu jest jedną z najczęstszych i najłatwiejszych do stwierdzenia niezgodności — kontroler nie musi niczego interpretować, wystarczy, że poprosi o najstarsze dostępne nagranie i sprawdzi jego datę. Jeśli okaże się starsze niż trzy miesiące, dyskusja o dobrej woli placówki staje się bezprzedmiotowa.

Obowiązek informacyjny: tabliczka przy wejściu to za mało

Przy wejściu do większości placówek wisi piktogram kamery i napis „obiekt monitorowany". W przekonaniu wielu administratorów to załatwia sprawę. Nie załatwia. Art. 13 RODO nakłada na administratora obowiązek przekazania osobie, której dane są przetwarzane, konkretnego zestawu informacji: kto jest administratorem, w jakim celu i na jakiej podstawie prowadzony jest monitoring, jak długo nagrania będą przechowywane, komu mogą zostać udostępnione oraz jakie prawa przysługują osobie nagrywanej i jak może je zrealizować. Piktogram zawiera z tego co najwyżej pierwszą sylabę.

W kontekście dzieci obowiązek ten się komplikuje, bo informacja musi realnie dotrzeć do rodzica lub opiekuna prawnego, a nie zostać schowana w regulaminie wywieszonym w gablocie na końcu korytarza. Kontroler sprawdzi, czy klauzula informacyjna jest dostępna w punkcie, w którym pacjent lub opiekun faktycznie się zatrzymuje — w rejestracji, na oddziale, w materiałach przyjęcia — i czy jej treść odpowiada rzeczywistości. Częstym błędem jest klauzula skopiowana z internetu, która deklaruje retencję „przez 30 dni", podczas gdy rejestrator trzyma nagrania trzy miesiące, albo wskazuje nieaktualnego administratora po reorganizacji placówki. Rozbieżność między tym, co placówka deklaruje, a tym, co realnie robi, jest dla kontrolera sygnałem, że obowiązek informacyjny potraktowano jako formalność do odhaczenia, a nie jako rzetelne wypełnienie prawa pacjenta do wiedzy o tym, co dzieje się z jego wizerunkiem.

Kto naprawdę ogląda nagrania: dostęp i logi

Najtrudniejsze pytanie kontroli pada zwykle na końcu i brzmi: kto ma dostęp do nagrań. Nie kto powinien mieć — kto faktycznie ma. W wielu placówkach odpowiedź jest niewygodna, bo podgląd z kamer wyświetla się na monitorze w rejestracji widocznym dla pacjentów w kolejce, hasło do rejestratora to „admin1234" znane połowie personelu, a dostęp do archiwum ma firma serwisowa, z którą nigdy nie podpisano umowy powierzenia przetwarzania danych. Każdy z tych elementów to osobna niezgodność, a razem składają się na obraz systemu, w którym wrażliwe nagrania pacjentów są de facto dobrem wspólnym.

Tu RODO spotyka się z konkretną inżynierią bezpieczeństwa. Art. 32 RODO wymaga wdrożenia środków technicznych i organizacyjnych odpowiednich do ryzyka, a norma ISO/IEC 27001:2022 przekłada ten obowiązek na zabezpieczenia, które da się wdrożyć i wykazać. Zabezpieczenie A.5.15 to kontrola dostępu oparta na zasadzie wiedzy koniecznej — do nagrań sięga wyłącznie ten, kto realnie musi, i tylko w zakresie swojej roli. Zabezpieczenie A.8.3 ogranicza dostęp do informacji do uprawnionych. Zabezpieczenia A.8.15 i A.8.16 nakazują rejestrowanie zdarzeń i monitorowanie aktywności, czyli prowadzenie logów: kto, kiedy i które nagranie odtwarzał lub wyeksportował. Bez takich logów placówka nie jest w stanie odpowiedzieć na pytanie, czy ktoś nie pobrał nagrania z oddziału dziecięcego i nie wyniósł go poza system — a w razie incydentu to właśnie ten brak okaże się najkosztowniejszy.

Kontrola dostępu do monitoringu to obszar, w którym łatwo o szybkie i tanie poprawki dające realny efekt. Indywidualne konta zamiast jednego współdzielonego hasła, odebranie podglądu z miejsc ogólnodostępnych, spisanie listy osób uprawnionych i powiązanie jej z konkretnymi rolami, uregulowanie dostępu firmy serwisowej umową powierzenia — to działania, które nie wymagają wymiany sprzętu, a zamykają większość typowych niezgodności. Problem nie polega na tym, że są trudne. Polega na tym, że nikt się nimi nie zajął, bo monitoring „działał".

Gdzie kończy się proporcjonalność monitoringu

Najpoważniejsze pytanie nie dotyczy retencji ani dostępu, lecz samego sensu kamery w danym miejscu. Proporcjonalność to nie ozdobnik prawniczy, tylko twardy test: czy cel, który chcemy osiągnąć, da się zrealizować środkiem mniej ingerującym w prywatność. Kamera obejmująca wejście do oddziału i ciąg komunikacyjny zwykle ten test przechodzi. Kamera skierowana na łóżko pacjenta, na salę zabiegową albo na przewijak na oddziale dziecięcym wymaga już znacznie mocniejszego uzasadnienia, bo wkracza w sferę intymności i godności, którą ustawa o działalności leczniczej każe szczególnie chronić. A rejestracja dźwięku w pomieszczeniach, w których pacjent rozmawia z lekarzem o swoim stanie zdrowia, jest w przeważającej liczbie przypadków nieproporcjonalna i trudna do obrony — bo dokłada do obrazu treść rozmowy objętej tajemnicą.

Narzędziem, które porządkuje te rozstrzygnięcia, jest ocena skutków dla ochrony danych, czyli DPIA z art. 35 RODO. Monitoring prowadzony na dużą skalę, obejmujący dane szczególnej kategorii i dotyczący osób wymagających wzmożonej ochrony — a tak właśnie jest na oddziale dziecięcym — to podręcznikowy przypadek przetwarzania, dla którego ocena skutków jest obowiązkowa, a nie fakultatywna. DPIA zmusza administratora do tego, czego placówki najczęściej zaniechały: do spisania, po co jest każda kamera, jakie ryzyko stwarza dla pacjentów, jakimi środkami to ryzyko ograniczono i dlaczego pozostała część ryzyka jest akceptowalna. Kontroler, który poprosi o ocenę skutków i usłyszy, że jej nie sporządzono, dostaje gotową odpowiedź na pytanie, czy placówka w ogóle przemyślała swój monitoring — czy tylko go zainstalowała.

Perspektywa pacjenta dopełnia tę ocenę. Rzecznik Praw Pacjenta wielokrotnie zwracał uwagę, że rejestracja obrazu, a tym bardziej dźwięku, w pomieszczeniach udzielania świadczeń narusza intymność i potrafi zniechęcić pacjenta do szczerej rozmowy z lekarzem — a więc paradoksalnie szkodzi procesowi leczenia, który miała chronić. Tam, gdzie monitoring jest rzeczywiście niezbędny, na przykład na salach intensywnego nadzoru, rozwiązaniem proporcjonalnym bywa ograniczenie pola widzenia, maskowanie stref prywatnych albo podgląd na żywo bez utrwalania nagrania. Wybór konkretnego środka nie jest decyzją techniczną serwisanta, lecz rozstrzygnięciem, które administrator musi umieć uzasadnić — i to właśnie tego uzasadnienia będzie szukał kontroler.

Monitoring spotyka NIS-2 i falę ransomware na szpitalach

Byłoby wygodnie traktować monitoring jako odrębny, niewielki problem RODO. Tyle że nagrania z kamer to kolejny zbiór wrażliwych danych przechowywany w infrastrukturze IT placówki — a ta infrastruktura jest dziś pod bezprecedensową presją. Wiosna 2026 roku przyniosła serię głośnych ataków na polską ochronę zdrowia: w nocy z 7 na 8 marca zaszyfrowano część systemów Szpitala Wojewódzkiego w Szczecinie, który przeszedł na pracę „na papierze"; 13 marca incydent ransomware dotknął Bonifraterskie Centrum Medyczne; 31 marca atak uderzył w Świętokrzyskie Centrum Rehabilitacji w Czarnieckiej Górze. Każdy z tych przypadków oznaczał nie tylko sparaliżowane systemy, lecz także realne ryzyko, że dane pacjentów — w tym potencjalnie nagrania z monitoringu — zostały wykradzione przed zaszyfrowaniem.

Tu wchodzi druga warstwa obowiązków. Podmioty z sektora ochrony zdrowia należą do zakresu krajowego systemu cyberbezpieczeństwa wdrażającego dyrektywę NIS-2, a wiele z nich kwalifikuje się jako podmioty kluczowe lub ważne, z pełnym katalogiem obowiązków w zakresie zarządzania ryzykiem, zgłaszania incydentów i wykazywania zgodności. Z perspektywy bezpieczeństwa nie ma znaczenia, czy dane wyciekają z systemu medycznego, czy z rejestratora kamer — liczy się, czy sieć monitoringu jest odseparowana od reszty infrastruktury, czy nagrania są szyfrowane i objęte kopią zapasową, i czy dostęp do nich jest logowany. Kontrola UODO sprawdzi monitoring od strony zgodności z RODO, obowiązki NIS-2 wymuszą jego zabezpieczenie od strony cyberodporności, a norma ISO 27001 spina obie perspektywy w jeden, audytowalny system. Placówka, która potraktuje te trzy reżimy jako trzy osobne projekty, wykona tę samą pracę trzy razy i wciąż zostawi luki na stykach. Placówka, która zaprojektuje je jako jedną całość, zamknie kontrolę monitoringu i podniesie odporność na atak tym samym ruchem.

W praktyce technicznej oznacza to kilka konkretnych decyzji. Sieć kamer powinna być odseparowana od sieci, w której pracują systemy medyczne i administracyjne, aby kompromitacja jednej nie otwierała automatycznie drogi do drugiej. Rejestrator, podobnie jak każdy inny serwer z danymi wrażliwymi, wymaga aktualizacji, silnego uwierzytelniania i objęcia kopią zapasową przechowywaną poza siecią produkcyjną. Zdalny dostęp firmy serwisowej, jeśli w ogóle jest dopuszczony, musi być kontrolowany i rejestrowany. To nie jest egzotyka — to ten sam zestaw zabezpieczeń, którego NIS-2 wymaga wobec każdego istotnego systemu, zastosowany do elementu infrastruktury, o którym placówki najczęściej zapominają, bo kojarzy im się z ochroną fizyczną, a nie z IT.

Dlaczego z Fib.Code w sprawie monitoringu i danych medycznych

Fib.Code łączy kompetencje, które w sprawie monitoringu medycznego muszą wystąpić razem: prawo ochrony danych, bezpieczeństwo informacji i praktyczną znajomość infrastruktury IT placówek. Pełnimy funkcję inspektora ochrony danych i Pełnomocnika ds. bezpieczeństwa informacji, prowadzimy audyty zgodności z RODO i wdrożenia ISO 27001, przygotowujemy podmioty lecznicze do obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Nie patrzymy na kamerę osobno od sieci, w której wisi, ani na klauzulę informacyjną osobno od rejestratora, którego ona dotyczy.

Pracujemy według trzech zasad. Po pierwsze, zaczynamy od inwentaryzacji rzeczywistości, a nie od szablonu — najpierw ustalamy, ile kamer realnie działa, co obejmują i jak skonfigurowano retencję, bo dokument oparty na fikcji jest gorszy niż jego brak. Po drugie, projektujemy dowód zgodności od początku, ponieważ wobec kontroli liczy się nie to, co placówka deklaruje, lecz to, co potrafi wykazać konfiguracją, logiem i polityką. Po trzecie, mapujemy obowiązki tak, by jedno działanie zaspokajało jednocześnie wymagania RODO, ustawy o działalności leczniczej, NIS-2 i normy ISO — zamiast mnożyć równoległe, rozjeżdżające się dokumentacje.

Produktem końcowym jest placówka, która w dniu wizyty kontrolera nie szuka w panice starych nagrań ani nieaktualnych klauzul, lecz wręcza spójny komplet: wykaz kamer z podstawą prawną, potwierdzoną konfigurację retencji, aktualne klauzule informacyjne, listę osób uprawnionych z logami dostępu i ocenę skutków dla oddziałów, które tego wymagają. To różnica między placówką, która monitoring „ma", a placówką, która potrafi za niego odpowiadać.

Co zrobić w najbliższy tydzień przed kontrolą UODO

Plan kontroli obowiązuje przez cały 2026 rok, więc nie jest to problem na kiedyś — to problem na teraz. W najbliższym tygodniu warto zwołać jedno krótkie spotkanie trzech osób: kierownika placówki, inspektora ochrony danych i osoby odpowiedzialnej za systemy informatyczne, i przejść przez pięć pytań, na które trzeba uzyskać odpowiedzi poparte dowodem, a nie zapewnieniem.

Pierwsze: ile mamy kamer, co dokładnie obejmują i na jakiej podstawie prawnej działa każda z nich — ze wskazaniem, które są w pomieszczeniach świadczeń, a które poza nimi. Drugie: jak skonfigurowana jest retencja i czy potrafimy wykazać, że nagrania starsze niż trzy miesiące są automatycznie usuwane. Trzecie: czy klauzule informacyjne są aktualne, dostępne tam, gdzie zatrzymuje się pacjent lub rodzic, i zgodne z rzeczywistą retencją. Czwarte: kto faktycznie ma dostęp do nagrań, czy istnieją indywidualne konta i logi oraz czy firma serwisowa działa na podstawie umowy powierzenia. Piąte: czy dla monitoringu obejmującego oddziały dziecięce i dane wrażliwe sporządziliśmy ocenę skutków dla ochrony danych. Jeśli na którekolwiek z tych pytań pada cisza albo „chyba tak", to jest dokładnie ta luka, którą kontroler znajdzie jako pierwszą — i którą lepiej zamknąć z własnej inicjatywy niż pod presją protokołu pokontrolnego.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: wiosenna fala ransomware w szpitalach, samorządach i MŚP, kara UODO za BIP i kontrole sektorowe w samorządzie oraz kompletny przewodnik po NIS-2 w Polsce — krótkie spięcie tematyczne między ochroną danych pacjentów, cyberodpornością placówek i obowiązkami sektora ochrony zdrowia.